Skip to Menu Skip to Search 联系我们 China 网站和语言 Skip to Content

8月28日,某知名连锁酒店疑似发生用户数据泄露事件,近1.3亿用户的个人信息,包括:姓名、身份证号、家庭住址、生日、手机号、邮箱、登录密码、入住时间、离开时间、酒店ID号、房间号、消费金额等,被公开叫卖。这批数据被脱库时间显示为2018年8月14日,是非常新的数据,总数据量达到110G以上。人们再次被不堪一击的个人信息保护问题所震惊,触目惊心的泄露数据内容和数据量,使人们深深疑问:到底由谁、怎么样才能保障广大用户的个人信息安全。

    8月28日,某知名连锁酒店疑似发生用户数据泄露事件,近1.3亿用户的个人信息,包括:姓名、身份证号、家庭住址、生日、手机号、邮箱、登录密码、入住时间、离开时间、酒店ID号、房间号、消费金额等,被公开叫卖。这批数据被脱库时间显示为2018年8月14日,是非常新的数据,总数据量达到110G以上。人们再次被不堪一击的个人信息保护问题所震惊,触目惊心的泄露数据内容和数据量,使人们深深疑问:到底由谁、怎么样才能保障广大用户的个人信息安全。
    众所周知,2017年6月1日《网络安全法》已正式实施(其中,第42条明确规定“未经被收集者同意,不得向他人提供个人信息。”、第44条则提出“任何个人和组织不得窃取或者以其他非法方式获取个人信息”),其后全国信息安全标准化技术委员会(信安标委)出台了一系列的标准,以支持和保障《网络安全法》的有效落实,其中GB/T 35273:2017 《信息安全技术:个人信息安全规范》(下称《安全规范》)提出了用于实践《网络安全法》中有关个人信息保护的规范类要求,并于2018年5月1日正式实施,此外,《安全规范》在编制过程中保持了与国际主流个人信息保护法令的一致性,例如,欧盟的《通用数据保护条例》(GDPR)。可以认为,《安全规范》可作为《网络安全法》司法实践中的重要参考文件。
    《安全规范》提出了使用或处理个人信息的处理者(狭隘地讲,可以认为就是公司或企业)需遵循的原则和应承担的责任,就具体内容来讲,主要包括个人信息以及个人敏感信息的范围界定、个人信息处理的安全基本原则、个人信息流转环节的要求,例如,收集、保存、使用、委托处理、共享、转让和公开披露,以及与个人信息安全事件处置有关的内控管理要求等多个方面。
从个人信息以及个人敏感信息的范围界定来看,个人信息则包括个人身份信息、个人生物识别信息、网络身份标识信息、个人教育工作信息、个人财产信息、个人通信信息、个人上网记录等等;个人敏感信息则包括个人财产信息、个人健康生理信息、个人生物识别信息、个人身份信息、网络身份标识信息等,并在附录中给出了个人信息与个人敏感信息的具体实例。
    从个人信息处理的安全基本原则角度来看,则包括:(1)权责一致;(2)目的明确;(3)选择同意;(4)最少够用;(5)公开透明;(6)确保安全;以及(7)主体参与共七大项。重点在于,维护个人信息保护过程中,坚持多方共同参与,积极发挥公民以及其他主体的保护能动性等形式。
    从个人信息流转环节的要求角度来看,强调了尊重个人信息主体真实意愿,保障个人信息主体的访问、更正以及删除其个人信息的权利,同时要求个人信息控制者具备与安全风险相匹配的安全能力,并且采取适当的管理措施和技术手段保护个人信息的保密性、完整性和可用性,切实承担相应的义务与责任。
    从个人信息安全事件处置等内控管理要求来看,则要求个人信息控制者应当就个人信息制定相关的安全事件应急预案,制定了一系列相关措施,较为主要的包括,要求个人信息控制者定期对个人信息安全影响进行评估,建立自身的评估机制,除此以外,还应建设适当的数据安全能力,定期对相关人员进行管理培训,并对自身建立的相关隐私政策以及安全措施的有效性进行审计,完善具体的审计体系,落实必要的管理和技术措施,最大程度地防范个人信息的泄露、损毁和丢失等情况发生。
    《安全规范》属于推荐性国家标准,和强制性国家标准不同,因此,监管部门可以将规范当作执法指引,却不能作为执法的直接依据,但是,可通过“转化”的方式,把规范融入到日常监管要求当中,例如,2018年5月21日,中国银保监会发布的《银行业金融机构数据治理指引》中第24条明确要求:“银行业金融机构采集、应用数据涉及到个人信息的,应遵循国际个人信息保护法律法规要求,符合与个人信息安全相关的国家标准”,同样的,其他监管部门后续在制定规章和规范性文件的时候,也会参照《安全规范》中所确定的规则,并将其融入到规章和规范性文件中去。
综上可以看出,《安全规范》的出台符合产业发展的需要,也更靠近国际上通行的做法,呼应了国家有关个人信息安全的政策战略、法律法规以及其他规范,勾勒出具体且明确的操作规则进而提供可行的合规指南,对于有效保障公民的合法权益、及时制止侵害个人信息的行为都具有重要的意义。同时,随着规范实施后积累的实践经验,也将为后续的个人信息保护立法打下很好的基础。
Frake. Chen